All’inizio del mese i ricercatori di Kaspersky avevano scoperto un potente malware, denominato Slingshot, che sfrutta i router prodotti da Mikrotik. L’azienda russa aveva ipotizzato che qualche governo ha avviato un’imponente campagna di cyberspionaggio. Si scopre ore che Slingshot era un’operazione antiterrorismo dell’intelligence statunitense contro i membri di Al-Qaeda e ISIS.
Gli esperti di Kaspersky aveva individuato la tecnica utilizzata per diffondere il malware. Sfruttando l’utility usata per la configurazione (Winbox Loader) sono state scaricate alcune DLL infette, una delle quali (ipv4.dll) ha sostituito la versione legittima nel file system del router e avviato il download di altri componenti. Dopo aver ottenuto l’accesso alla memoria e allo storage, Slingshot consentiva di eseguire diverse operazioni, come scattare screenshot e registrare varie attività (traffico di rete, tasti premuti, clipboard e altro).
La maggior parte dei target si trovavano in Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania. In questi paesi ci sono molto membri di Al-Qaeda e ISIS che i corpi speciali degli Stati Uniti stavano cercando di catturare. Il malware era infatti installato nei computer presenti negli Internet point e utilizzati dai membri delle due organizzazioni terroristiche per lo scambio di informazioni.
Kaspersky ha involontariamente scoperto il malware (senza individuare gli autori), quindi l’operazione antiterrorismo è stata interrotta per evitare di mettere in pericolo i militari impegnati sul campo.